IG Diskussion:EFA Spezifikation v2.0: Unterschied zwischen den Versionen
Tidris (Diskussion | Beiträge) |
Tidris (Diskussion | Beiträge) (→{EDoct.02.04}) |
||
Zeile 158: | Zeile 158: | ||
'''Die Formulierung ist irreführend. Z.Zt. würde ich es wie folgt übersetzen: "Mit diesem Feld darf man nicht die Vertraulichkeit von persönlichen medizinischen Daten schützen." Gemeint ist doch wahrscheinlich eher: "For reasons of protecting the confidentiality of personal medical information this slot SHALL NOT be used." (ti, 07.06.2013)''' | '''Die Formulierung ist irreführend. Z.Zt. würde ich es wie folgt übersetzen: "Mit diesem Feld darf man nicht die Vertraulichkeit von persönlichen medizinischen Daten schützen." Gemeint ist doch wahrscheinlich eher: "For reasons of protecting the confidentiality of personal medical information this slot SHALL NOT be used." (ti, 07.06.2013)''' | ||
− | '''Hier sollte ausserdem klar zwischen der sourcePatientInfo und der sourcePatientId unterschieden werden. Die sourcePatientId sollte immer gesetzt sein um Fehlzuordnungen (z.B. durch einen MPI) rückgängig machen zu können. Dies ist auch der Ansatz des X-PID | + | '''Hier sollte ausserdem klar zwischen der sourcePatientInfo und der sourcePatientId unterschieden werden. Die sourcePatientId sollte immer gesetzt sein um Fehlzuordnungen (z.B. durch einen MPI) rückgängig machen zu können. Dies ist auch der Ansatz des X-PID [http://www.ihe.net/Technical_Framework/upload/IHE_ITI_Suppl_XPID_Rev1-1_TI_2011-08_19.pdf] (ti, 07.06.2013)''' |
== Namenskürzel == | == Namenskürzel == |
Version vom 7. Juni 2013, 14:14 Uhr
Inhaltsverzeichnis
- 1 {Auun.01.02}
- 2 {Pziee.02.01}
- 3 {Pziee.02.02}
- 4 {Pziee.02.04}
- 5 {Eehä.01.02.01}
- 6 {Eehä.01.04}
- 7 {Eune.01}
- 8 {Peen.01.01}
- 9 {Cngea.01.01}
- 10 {Cngea.01.04.01}
- 11 {CiteD.01.03}
- 12 {Ccier.01.05}
- 13 {Cnlio.01.04.01}
- 14 {Cnlio.01.05}
- 15 {Eierf.01}
- 16 {Eierf.02}
- 17 {Eierf.03}
- 18 {BnsIi.02.04}
- 19 {BnsIi.02.07}
- 20 {BnsIi.02.11}
- 21 {BnsIi.02.12}
- 22 {BnsIi.02.13}
- 23 {Eecim.02.02}
- 24 {Eouns.01.02.02}
- 25 {Eouns.01.06}
- 26 {Eouns.01.08}
- 27 {Eouns.01.09}
- 28 {Enndn.01.01.01}
- 29 {Enndn.01.03.01}
- 30 {Eierz.01}
- 31 {Eoexr.02.01}
- 32 {Eocye.01}
- 33 {Eocye.01}
- 34 {MdaBs.01}
- 35 {EDold.01.01}
- 36 {EDoct.01.01}
- 37 {EDoct.02}
- 38 {EDoct.02.01}
- 39 {EDoct.02.02}
- 40 {EDoct.02.04}
- 41 Namenskürzel
{Auun.01.02}
Unter Fallaktenmanager wird zuerst davon gesprochen, dass der Fallaktenmanager Berechtigungen auf eine Fallakte hat. Im gleichen Abschnitt wird über "verwaiste" Fallakten gesprochen, die keine aktuell gültige Berechtigung mehr ausweisen. Diese verwaisten Fallakten sollen automatisch dem zuständigen Fallaktenmanager "zugeordnet werden". Nach meinem Verständnis ist dies als eine Fallback Regelung für fehlerhaft geführte Fallakten zu verstehen. Es wird aber nur der Fall adressiert, in dem die Berechtigungen der EFA-Teilnehmer fehlen oder abgelaufen sind, ohne dass die Fallakte gelöscht/archiviert wurde, wobei die Berechtigung des Fallaktenmanagers (vor allem wer der zuständige Fallaktenmanager ist) vorhanden ist. Ich würde mir eine Klarstellung wünschen, die es dem Aktenbetreiber ermöglicht einen "Default-Fallaktenmanager" zu definieren, dem über einen ordentlich dokumentierten Prozess die Berechtigung auf eine verwaiste Fallakte erteilt werden kann, wenn der ordentliche Fallaktenmanager nicht zweifelsfrei festgestellt werden kann. (ti, 28.05.2013)
{Pziee.02.01}
Der letzte Satz zur Granularität der Authentisierung verwirrt mich etwas. Ich bin davon ausgegangen dass auch bei Vergabe der Zugriffsrechte auf Organisationsgranularität der individuelle Benutzer in der Assertion mitgeliefert wird (auch wenn er nicht zentral geführt wird und somit nicht weiter verifiziert werden kann). Dies ermöglicht eine weitaus bessere Auditierung, da immer ein individueller Benutzerkontext vorhanden ist. Eine Klarstellung ob Informationen zum Benutzer für Auditzwecke trotzdem benötigt werden, wäre hier sinnvoll (auch wenn dies im späteren Text hoffentlich geklärt wird). (ti, 28.05.2013)
{Pziee.02.02}
Das in 4. als default vorgegebene Policy Push verfahren widerspricht dem im Cookbook verwendetem Verfahren, bei dem der Authorization Decision Provider als PDP die relevanten Policies vom Policy Repository (hier Policy Provider) abfragt. Die Entscheidung basierte auf dem Ziel die Implementierung von Clients zu vereinfachen und einen besseren Schutz der ggf. schützenswerten Policies zu ermöglichen (da beim Cookbook nur der PDP Policies abrufen muss und somit weniger Angriffsfläche besteht). Der Schutz der Policies ist im EFA Kontext wahrscheinlich weniger dringend als im PEPA Kontext (v.a. wegen Blacklisting und krankheitsspezifischen Restriktionen), aber die geringere Implementationslast für Clients sollte auch ein Anliegen des EFA Vereins sein. Die Vorteile des hier gewählten Ansatzes gegenüber dem Cookbook erchliessen sich mir hier noch nicht. (ti, 28.05.2013)
{Pziee.02.04}
Was für Auswirkungen hat die Aussage: "In der Summe bedeutet dies, dass sich ein Provider niemals auf eine Zugriffskontrollentscheidung oder Auswertung einer Einwilligung verlassen darf, die er nicht selbst verantwortet und durchgeführt hat." Ein Provider muss sich ja schon auf die Aussagen von "vertrauenswürdigen" Systemen verlassen: Der Identity Provider kann vom EFA-Teilnehmer betrieben werden. Nicht elektronisch signierte Patientenzustimmungsdokumente die von einem EFA-Teilnehmer kommen werden auch als verlässlich akzeptiert. Ich würde hier einfach berücksichtigen, dass der EFA Provider mit seinen Teilnehmern vertraglich klärt, welches Verhalten von "vertrauenswürdigen" Systemen gefordert ist und wer die Verantwortung bei Abweichungen trägt (bzw. was die Folge von Abweichungen sind). (ti, 28.05.2013)
{Eehä.01.02.01}
Der hier beschriebene Mechanismus für verteilte Fallakten scheint (v.a. von Punkt 4 an) signifikant vom in der 7er Gruppe abgestimmten Vorschlag abzuweichen. (ti, 28.05.2013)
{Eehä.01.04}
Das Aktualisieren eines Dokuments ist in XDS nicht wie hier beschrieben vorgesehen. XDS kennt die Beziehungen "replace", "addendum", "transform" und "transform+replace". Die "replace" Beziehung bewirkt immer ein "deprecated" setzen des alten Dokuments. Es gibt über XDS Metadata Update die Möglichkeit die Metadaten zu aktualisieren, aber nicht die Document uniqueId, d.h. die referenzierten Binärdaten. Ausserdem gilt auch hier: "At any point in time there shall be at most one version of a logical DocumentEntry object with status Approved in the registry/recipient. If this version exists it shall always be the most recent version." (Metadata Update Supplement rev 1.2, line 623-625). Ich würde vorschlagen keine Unterscheidung zwischen Aktualisierung und Ersetzen zu machen. Änderungen am Dokument sollten immer als "replace" aufgefasst werden. Ich halte es nicht für notwendig den Client entscheiden zu lassen ob eine Ersetzung das alte Dokument invalidieren soll. (ti, 28.05.2013)
In späteren Teilen des Dokuments (v.a. {CiteD.01.03}) wird die Unterscheidung zwischen Aktualisieren und Ersetzen auch nicht mehr gemacht. (ti, 28.05.2013)
{Eune.01}
1. Ich habe noch keine Abbildung der Stati auf die zugrunde liegende XDS Strukturen gefunden. Ein entsprechender Verweis wäre hier sicherlich ein hilfreicher Hinweis für Implementierer. 2. Ich würde keine so genaue Empfehlung für die Gültigkeitsdauer einer Fallakte machen. Diese sollte eher von fachlicher Seite definiert werden. Da die Fallakte auch nicht notwendigerweise für den gesamten Krankheitsverlauf benötigt wird (sondern z.B. nur für eine Zweitmeinung), ist der ansonsten sinnvolle Ansatz objektive Kriterien für solche Empfehlungen heranzuziehen hier nicht notwendig. (ti, 28.05.2013)
{Peen.01.01}
Die Verwendung eines Offline-Tokens zur Autorisierung eines Teilnehmers über eine Arztrolle (bspw. Kardiologe) widerspricht der Abmachung in der 7er Gruppe, dass Offline-Tokens nur zur Identifikation von Fallakten verwendet werden. Auch der explizite Ausschluss von mehreren Einwilligungserklärungen widerspricht der abgesprochenen Verwendung von Offline-Tokens. Bei Einsatz eines Tokens zur Identifkation einer Fallakte, ist danach ein Anlegen einer weiteren Patientenzustimmung, die den vorher nicht autorisierten Arzt berechtigt, zwingend notwendig. Ansonsten hat der hinzuzufügende Arzt nicht die notwendige Berechtigung um die zu ersetzende Patientenzustimmung zu identifizieren. (ti, 28.05.2013)
{Cngea.01.01}
Bei den Nachbedingungen sollte die elektronische Verfügbarkeit der Einwilligung als Dokument zwingend sein. Bei einer Umsetzung anhand der abgestimmten Konzepte (Einwilligung als CDA Dokument) ist dies immer der Fall und sollte dementsprechend auch von der Spezifikation verlangt werden. Oder geht es hier nur um eine gescannte Version der unterschriebenen Papiereinwilligung? (ti, 28.05.2013)
{Cngea.01.04.01}
Die Anforderung einen rein schreibenden Zugriff für den Aktenersteller auch ohne eine Patientenzustimmung zu ermöglichen ist mir neu. Abgesehen von der rechtlichen Zulässigkeit einer Datenverarbeitung ohne Einwilligungserklärung, entsteht hier die Frage wie das auf der technischen Ebene auf Basis von XDS umzusetzen ist (falls dies weiter unten noch ausgeführt wird mag sich dieser Kommentar erübrigen). Prinzipiell könnte ansteller einer Patientenzustimmung auch ein anderes CDA Document eingesetzt werden, das die gleiche Funktion erfüllt. Dies wäre als eine Art "Policy Activation Document" zu verstehen, dass im Policy Repository die Vergabe eines zeitlichen begrenzten Schreibrechts für den Aktenersteller auslöst (d.h. ein PolicySet das auf eine Policy verweist die dem spezifischen Benutzer Zugriff auf die "Provide and Register" und "Register" Schnittstelle ermöglicht). Der komplette Verzicht auf ein initial hochzuladendes Dokument ist über XDS kaum umzusetzen, da eine P&R Transaktion (die den entsprechenden Folder mit Zweckcode anlegt) nicht ohne einen zu registrierenden DocumentEntry durchgeführt werden kann. (ti, 28.05.2013)
{CiteD.01.03}
Ich würde bei der Aktualisierung noch die Nachbedingung empfehlen, dass veraltete Dokumente entsprechend gekennzeichnet sind. In XDS geschieht dies sowieso (bei Replace wird das alte Doc auf "Obsolete" gesetzt), es macht aber auch konzeptionell Sinn. (ti, 29.05.2013)
{Ccier.01.05}
Der Zusatz zum Weiterleiten des Begründungsdokuments (im zweiten Absatz) überrascht mich etwas. Beim Interaktionsmuster "Daten einstellen" war in der Peer-to-Peer Semantik {CiteD.01.05} keine Rede von einem Weiterleiten von Dokumenten. Wenn ein solches Weiterleiten generell nicht benötigt wird, ist der Hinweis an dieser Stelle sinnlos. (ti, 29.05.2013)
{Cnlio.01.04.01}
Nummerierungsfehler beim Ablauf (Punkt 1 beinhaltet 2 Schritte) (ti, 29.05.2013)
{Cnlio.01.05}
D.h. dass es sich beim Zugriff auf andere Peers nicht um einen rein lesenden Zugriff handelt, sondern dass ein EFA Teilnehmer auch Daten bei einem anderen EFA Provider invalidieren kann. Ist dies ohne eine direkte vertragliche Beziehung zwischen Teilnehmer und dem (fremden) EFA Provider möglich? Oder wird dies über die (von mir vermutete) Vertragsbeziehung zwischen den beiden EFA Providern geregelt? (ti, 29.05.2013)
{Eierf.01}
Ich würde empfehlen das Thema Haftung hier nicht zu erwähnen. Die Haftungsregelung zwischen Identity Provider und EFA Provider sind ein eigenes Thema, das an dieser Stelle nicht ausgiebig behandelt werden kann. Ich würde daher nur vom "ausstellendem Dienst" sprechen, nicht vom "ausstellenden (und haftenden)". (ti, 29.05.2013)
{Eierf.02}
Falls deny-biased im Sinne von XACML (d.h. ein "deny-biased PEP") gemeint ist, ist die Definition nicht korrekt. Jeder PEP führt bei eventuellen Negativindikatoren zu einer Negativentscheidung (nicht zum Abbruch der Entscheidungsfindung!). Nur ein "deny-biased PEP" führt auch ohne Negativindikatoren, sondern einzig durch das Ausbleiben von "Positivindikatoren" zu einer Negativentscheidung. Wenn es hier um die Kombination unterschiedlicher Regeln geht, sprechen wir eher von einem "deny-override". Ggf. wären hier ein paar Beispiele für Negativindikatoren sinnvoll, um den Text verständlicher zu machen. (ti, 29.05.2013)
{Eierf.03}
"außerhalb der Fallakte (wie beispielsweise durch Metadaten)" Dies würde andeuten dass die Dokumentenmetadaten in der Registry nicht als Teil der Fallakte zu verstehen sind. Dies entspricht aber nicht der vorherigen Definition einer Fallakte (z.B. beim Einstellen von Daten werden sowohl das Dokument als auch die Metadaten einer Partition zugeordnet, die Teil der Fallakte ist. Wenn es hier um eine abgestufte Handhabe von Dokumenten und deren Metadaten geht, um z.B. eine Verschlüsselung der Dokumente ohne eine Verschlüsselung der Metadaten zu begründen, verstehe ich den Beweggrund, würde aber eine andere Darstellung bevorzugen (d.h. Metadaten sind - ähnlich wie demografische Daten des Patienten - ein weniger schützenswerter Teil der Fallakte als die Dokumenteninhalte). (ti, 29.05.2013)
{BnsIi.02.04}
Siehe den Kommentar unter {Peen.01.01} zur Notwendigkeit mehrerer Patientenzustimmungen. Die Einschränkung ist auch problematisch für den Umgang mit Peer-to-Peer Fallakten, bei denen es consentInfo Objekte in mehreren Affinity Domains gibt. Selbst wenn diese synchronisiert werden, handelt es sich um unterschiedliche Objekte, da sie auf unterschiedliche XAD-PIDs referenzieren. (ti, 29.05.2013)
{BnsIi.02.07}
Um Peer-to-Peer Fallakten zu unterstützen, wäre hier eine Referenz auf den EFA Provider sinnvoll. (ti, 29.05.2013)
{BnsIi.02.11}
Bei der Document ID sollte bedacht werden, dass auf der XDS Ebene zwei unterschiedliche IDs für die Verknüpfung und das Abrufen zum Einsatz kommen: Die entryUUID für Verknüpfungen und die uniqueId für das Retrieval. (ti, 29.05.2013) 'Beim Element "Zeitliche Einordnung" sollte keine Vermischung mit dem nicht medizinisch relevantem Datum des Einstellens in die Fallakte gefordert werden. Wann das Dokument eingestellt wurde sollte immer mitgeführt werden (es wird im Moment auf der logischen Sicht kein Feld dafür definiert). Wenn der medizinisch relevante Zeitraum (effectiveTime) nicht bekannt ist, sollte er lieber leer bleiben. Ansonsten ist es für Clients nicht möglich zu unterscheiden ob der Zeitraum explizit angegeben wurde (und somit faach relevant ist) oder es sich nur um einen default fallback Wert handelt, dem keine fachliche Bedeutung beizumessen ist. (ti, 29.05.2013)
{BnsIi.02.12}
Ein Ersetzen (Replace Assoziation) in XDS bewirkt immer eine Invalidierung (d.h. "availabilityStatus=Deprecated"). Dies betrifft übrigens nicht nur das Original Dokument, sondern auch seine Addenda! (ti, 29.05.2013)
{BnsIi.02.13}
Die Beziehung zwischen der Klasse documentID und dem Attribut documentID der Klasse documentMetadata ist unklar. Wird die Klasse documentID in der Klasse documentMetadata verwendet oder ist sie als davon unabhängiges logisches Objekt zu sehen? (ti, 29.05.2013)
{Eecim.02.02}
- Zur Assertion der angefragten Patienten ID: Ich kann die Argumente zu epSOS und SSO nachvollziehen. Diese wären durch eine von der Identity Assertion getrennte Assertion der relevanten Patienten ID addressierbar. Zum Thema Effizienzgewinn: Wenn ich bei einer reinkommenden Query durch die Patienten ID alle relevanten Policies abfrage, kann ich einen signifikanten Teil der Anfragen ohne Aufbauen des Request Context beantworten. Der Request Context würde ja im EFA Fall (wo die gesamte Akte auf einmal abgefragt wird) eine signifikante Größe haben. Alle Anfragen bei denen der LE kein Teilnehmer ist, benötigen keine Abfrage der kompletten Metadaten, sondern können alleine anhand der Policies, der Action (z.B. RegistryStoredQuery) und der Subject Informationen negativ beantwortet werden. Bevor Dokumente herausgegeben werden, wird natürlich trotzdem die dort referenzierte Patienten ID mit den Policies verglichen, die aufgrund der Patienten ID in der Assertion herangezogen werden. Wenn die Patienten ID in den Policies (die aus der Assertion stammt) anders ist als die Patienten ID in den Dokumenten Metadaten, matcht die XACML Rule nicht und der Zugriff wird nicht gestattet. Solange es wie bei der EFA keine expliziten Deny Regeln (z.B. pat.-spezifisches Blacklisting von bestimmten Ärzten) gibt, besteht hier auch kein Sicherheitsrisiko. TL;DR: Die Pat ID in der Assertion ist als "Hint" aufzufassen, der eine effizientere Verarbeitung gerade bei nicht authorisierten Benutzern führt. (ti, 29.05.2013)
- "Sofern in der EFA-Einwilligung eines Patienten Organisationen bzw. Organisationseinheiten als EFA-Teilnehmer benannt sind, muss der subjectIdentity-Nachweis weiter Informationen enthalten" Ich würde eine explizite Pflicht zur Organisations-ID vorziehen. Die hier zitierte Regel hiesse das der Identity Provider wissen muss wie die EFA Einwilligung strukturiert ist, d.h. ob darin nur Individuen oder auch Organisationen berechtigt werden (Sofern ... muss ...). Es muss ja auch nicht unbedingt eine OID sein. (ti, 29.05.2013)
{Eouns.01.02.02}
Wenn die alte und die neu anzulegende Fallakte den gleichen Patienten und den gleichen Zweck haben, können sie sich ja nur im Teilnehmerkreis und der Gültigkeit unterscheiden (da ja in der neuen Fallakte noch keine Inhalte sind). Somit unterscheidet sich der Fall nicht vom Interaktionsmuster zum Anpassen einer EFA (ti, 31.05.2013)
{Eouns.01.06}
- Es wird hier von dem Document Repository des EFA Providers gesprochen. Aufgrund der konzeptionellen Darstellung geht der Leser aber eher von einer dezentralen Dokumentenspeicherung mit Ausnahmen für Praxissysteme aus. Daher sollte die Formulierung hier hinsichtlich des Repositories neutraler sein. Ich würde hier vom "Document Repository für den Teilnehmer" sprechen, wobei natürlich noch erläutert werden soll was das heisst. Prinzipiell hat jeder Teilnehmer aber genau ein dediziertes Repository wo er Daten ablegt. - Unter 4.4 sollte auch noch die Verpflichtung der Registry zum Markieren von veralteten verlinkten Dokumenten (d.h. bei availability auf deprecated setzen bei Replace Assoziationen) erwähnt werden. (ti, 31.05.2013)
{Eouns.01.08}
Wie im vorherigen Abschnitt sollte auch hier auf den Umgang mit mehreren Repositories hingewiesen werden. Dies ist ja auch ein Teil der Konzeption und logischen Sicht auf das System, daher ist eine Erwähnung in diesem Kapitel sinnvoll. Der Abruf muss natürlich nicht aus dem Repository des abfragenden Teilnehmers geschehen, sondern aus dem für den einstellenden Teilnehmer zuständigem Repository. (ti, 31.05.2013)
{Eouns.01.09}
Die unter 3.2 beschriebene Prüfung der Einwilligung durch den EFA Provider sollte genauer erläutert werden: Handelt es sich um eine manuelle Prüfung oder eine automatische? Wenn automatisch, was muss dort geprüft werden, da die EFA Spezifikation ja sehr konkrete Vorgaben mit wenig Freiheitsgraden macht? (ti, 31.05.2013)
{Enndn.01.01.01}
"Sofern bereits eine Fallakte zu dem benannten Zweck existiert, wird keine neue Akte angelegt, sondern stattdessen die bestehende Akte um eine Partition und die neu hinzu kommenden Behandlungsteilnehmer erweitert." Dies scheint im Widerspruch zu {Eouns.01.02.02} zu stehen, wo beschrieben wird, dass die neue Einwilligung die alte ersetzt, d.h. es handelt sich um einen neuen "Snapshot" der Teilnehmer, nicht wie hier beschrieben ein Hinzufügen der bisher nicht geführten Teilnehmer. Um die Ad-Hoc Autorisierung durch eine zusätzliche Einwilligung (bei Fallaktenidentifikation über ein identifizierendes Offline Token) zu unterstützen, ist der hier beschriebene Mechanismus der additiven Einwilligung vorzuziehen. Dafür müsste die Einschränkung aus der referenzierten (logischen) Transaktion, dass der anlegende Teilnehmer auf die schon vorhandene Akte autorisiert ist, ausser Kraft gesetzt werden. (ti, 31.05.2013)
{Enndn.01.03.01}
Die auf diesen Abschnitt folgenden Abschnitte wiederholen nur die schon gelisteten Operationen und haben keinen Kommentierungscode. Die folgenden Abschnitte bis zu {Eierz.01} sollten wahrscheinlich gelöscht werden. (ti, 31.05.2013)
{Eierz.01}
Hier gibt es noch die bekannten Differenzen zum IHE Cookbook, z.B. Proof-of-Possession. Dies sollten wir noch harmonisieren. (ti, 31.05.2013)
{Eoexr.02.01}
In der Grafik gibt es bei der Guarantor Assertion 2 initiale Authentifizierungspunkte. Hier wäre eine weitere Erläuterung hilfreich. (ti, 31.05.2013)
{Eocye.01}
Das Vorgehen beim Verweis mit Semantik ist für mich nicht ganz nachvollziehbar. Wer fragt beim Policy Push von wem die Policy an? Wird diese im Client System gespeichert? (ti, 31.05.2013)
{Eocye.01}
Die Notwendigkeit und Auswirkungen der activatePolicy Operation sind mir nicht klar. Die Policy sollte doch gültig sein wenn der Patient ihr zugestimmt hat, unabhängig davon ob sie angefragt wurde oder nicht. (ti.03.06.2013)
Es gibt ausserdem noch eine Differenz zum Cookbook bei der Semantik der requestPolicy Operation. Im Cookbook wird beim policy pull des Authorization Provider immer der gesamte Policy Kontext für den Patienten vom Policy Repository abgerufen. Bei der EFA wird der Policy Kontext wiederum für den Benutzer abgerufen. Da die requestPolicy Operation explizit an das policy push gebunden ist, hat das unterschiedliche Vorgehen wahrscheinlich keine Auswirkungen. Dies sollte aber bei der weiteren Evaluierung genau betrachtet werden. (ti, 03.06.2013)
{MdaBs.01}
Wie schon im Kommentar zu {BnsIi.02.11} erwähnt, ist über die XDSDocumentEntry.uniqueId (und über die XDSFolder.uniqueId) keine Verlinkung über Assoziationen und kein Metadata Update möglich. (ti, 03.06.2013)
{EDold.01.01}
Mir fehlt hier noch ein expliziterer Hinweis auf das logische Konzept purpose das über die codeList abgebildet wird. (ti, 03.06.2013)
Ist ein Hausarztvertrag nicht viel zu breit und unspezifisch um dies mit einer Fallakte abzubilden? Hier geht es ja um ein getrenntes Abrechnungssystem, das nicht-indikationsspezifisch ist. (ti, 03.06.2013)
Für IV Vertrag und Hausarztzentrierte Versorgung sollte in der Value(s) Spalte nicht von "event code", sondern einfach nur von "code" gesprochen werden.
Das für IV Vertrag und Hausarztzentrierte Versorgung gewählte Konstrukt, indem der displayName die für die Differenzierung entscheidende Information enthält, sehe ich kritisch. Es ist nun nicht mehr möglich anhand des codes eine Unterscheidung zwischen zwei verschiedenen IV Verträgen durchzuführen. Wenn für 2 IV Verträge jeweils eine Fallakte geführt wird, heisst dies, dass die Registry nicht anhand der codeList (d.h. codingScheme+code) alleine Filtern kann, sondern auch noch den ursprünglich verwendeten displayName heranziehen muss. Dies widerspricht ausserdem der Definition der codeListDisplayName in volume 3: "The list of human readable descriptions of the meaning of each of the codes present in the codeList." Es handelt sich hier nicht um eine menschenlesbare Erläuterung, sondern um ein kritisches Unterscheidungsmerkmal um unterschiedliche IV Verträge auseinanderzuhalten. Hier sollte auch bedacht werden, dass viele Systeme bei der Rückgabe von displayNames die eingesendete Variante ggf. durch eine normalisierte/kanonische und ggf. übersetzte Variante aus der eigenen Katalogverwaltung ersetzen. Sinnvoller wäre hier eine explizitere Kennzeichnung von Fallakten die auf IV (oder HA) Verträgen basieren. Anstelle von (oder zusätzlich zu) einem immer gleichen Kennzeichen (code="ECR", codeSystem="IHE-D-Cookbook-FolderClassCode"), könnte man die vier Fälle unterscheiden (DMP, IV, HA, DIAG für diagnose-basiert). Ähnlich haben wir das im Cookbook dargestellt: [1]. Die besondere Problematik, wie man unterschiedliche IV und HA Verträge einheitlich benennt, ist aber auch dort nicht adressiert. Wenn man durch einen expliziten code diese Fälle unterscheiden kann und somit nicht das codingScheme zur Unterscheidung zwischen den 4 Fällen benutzen muss, kann man auch auf eine Projekt-spezifische Kennzeichnung von IV und HA Verträgen setzen. Solche Verträge die mittels Fallakte abgebildet werden sollen, würden dann bei allen betroffenen EFA Providern (entsprechend der in der 7er Gruppe diskutierten "Fachlichen Netzwerke") eine eindeutige Kennzeichnung (d.h. eine Kombination aus codingScheme und code) festlegen. (ti, 03.06.2013)
{EDoct.01.01}
Für den classCode würde ich keine LOINC codes empfehlen. Mir ist es noch nicht gelungen dort wirklich passende codes zu identifizieren. Inhaltlich haben wir für das Cookbook die Festlegung auf ein noch zu definierendes value set geplant: Quote: "XDSDocumentEntry.classCode: Festlegung auf ein value set geplant (ca. 5-10 Werte, z.B. Untersuchungsbefund, Diagnostische Rohdaten, Arztbrief, Bilddaten, Pflegedokumentation, Administratives Dokument, Patientendokument)" (ti, 03.06.2013)
{EDoct.02}
Es sollten für die folgenden Attribute auch Festlegungen unabhängig von der Telematikinfrastruktur getroffen werden. Viele der aufgeführten Optionen sind ja auch ohne diese Infrastruktur sinnvoll und nutzbar (z.B. KBV Arztnummer Praxis oder Institutskennzeichen). (ti, 07.06.2013)
{EDoct.02.01}
Ich würde hier eine Affinity Domain spezifische Identifikation nicht ausschliessen wollen. Für die Verwendung als Author Institution bietet sich natürlich die vom EFA Provider geführte Liste der autorisierbaren Organisationen (Einrichtungen, Fachkliniken, Abteilungen, ...) an. Es sollte ausserdem klar definiert werden ob die AuthorInstitution ID verpflichtend ist und auch die Beziehung zum Klarnamen, d.h. muss der Klarname der ID entsprechen oder kann er zusätzliche Eingrenzungen enthalten. Z.B. wenn die ID der UniKlinik A entspricht, darf der Name "Abteilung 1 der Fachklinik X der Uniklinik A" sein? (ti, 07.06.2013)
{EDoct.02.02}
Das Beispiel verwendet den Slot name authorInstitution, nicht authorPerson. Ausserdem wird im Text von "mul-tiple schemes are available for a role" gesprochen. Das sollte doch wahrscheinlich "multiple schemes are available for an author's ID" heissen. (ti, 07.06.2013)
Auch hier sollte klarer definiert werden wann/ob die ID verpflichtend ist, oder ob die ID nur wenn vorhanden wie unten definiert abgebildet werden muss. (ti, 07.06.2013)
Wie ist der Satz "If multiple IDs are known, at least two SHOULD be provided" zu verstehen? Wenn ich drei IDs für einen Arzt nutzen könnte, welche 2 sollten dann verwendet werden? (ti, 07.06.2013)
Für den Arzt in der Privatpraxis erscheinen mir alle gegebenen Optionen wenig hilfreich. Hier sollte auch für Niedergelassene die Option einer nicht globalen ID existieren. (ti, 07.06.2013)
Ist mit "<representedOrganization>" die authorInstitution gemeint? Dieser Begriff ist im HL7v3 Umfeld gebräuchlich, aber bei einem Binding von EFA Konzepten auf ebxml unter Einsatz von HL7v2 Datentypen nicht eindeutig genug. (ti, 07.06.2013)
Generell würde ich die Notwendigkeit eines verpflichtenden Einsatzes von nationalen IDs bei AuthorPerson und AuthorInstitution hinterfragen. Im Berechtigungssystem der EFA sind diese Felder nicht Interoperabilitäts-relevant. Es werden keine Berechtigungen anhand des Authors gesteuert (wie es z.B. in anderen Systemen gemacht wird um dem Autor weitergehende Rechte einzuräumen). Auch fürs Audit sind diese Daten nur begrenzt wichtig, da es keinerlei Überprüfung der gemachten Angaben gibt. Die einzigen Gründe die mir für eine Pflicht zu nationalen IDs hier einfallen würde wäre eine ordentliche Darstellung bei Cross-Community (die man aber eher über den Klartextnamen und ein paar nicht-verpflichtende Formatierungshinweise für den Namen erreicht) und für Auswertungen bei Cross-Community Nutzung. Wobei die Auswertung durch die min. 4 Optionen dadurch immer noch nicht eindeutig wird. Kurz: Ein SHOULD für die Nutzung der hier beschriebenen identification schemes sollte ausreichen. (ti, 07.06.2013)
Ich würde ausserdem einen Vorschlag hinzufügen, wie die Author Role und Author Speciality gefüllt werden sollten. (ti, 07.06.2013)
{EDoct.02.04}
Die Formulierung ist irreführend. Z.Zt. würde ich es wie folgt übersetzen: "Mit diesem Feld darf man nicht die Vertraulichkeit von persönlichen medizinischen Daten schützen." Gemeint ist doch wahrscheinlich eher: "For reasons of protecting the confidentiality of personal medical information this slot SHALL NOT be used." (ti, 07.06.2013)
Hier sollte ausserdem klar zwischen der sourcePatientInfo und der sourcePatientId unterschieden werden. Die sourcePatientId sollte immer gesetzt sein um Fehlzuordnungen (z.B. durch einen MPI) rückgängig machen zu können. Dies ist auch der Ansatz des X-PID [2] (ti, 07.06.2013)
Namenskürzel
- ti
- Tarik Idris, InterComponentWare AG
tarik.idris@icw.de